Auditoria de sistemas de TI Unidad II: Desarrollo de la auditoria informática Fases y elementos de la planeación en la auditoria informática.
pág. 1
ÍNDICE INTRODUCCIÓN ...................................................................................................3 PR$%&!$R: R$'&R %L$R&! '$('$RA 1. PREPARACIÓN..............................................................................................5 a) Planeación: ............................................................................................5 Integrantes: #atricula: b) Investigación:........................................................................................6
$arlos %lfredo &alas &ulu '1()!)"7c*
c) Lista de chequeo:..................................................................................7
$arlos I+án ,-re /sorio '1")!)")$* 2. EJECUCIÓN...................................................................................................
a) Reunión de apertura:........................................................................... 0aymundo #e $2uc '1()!)55!c* b) Recolección de pruebas:.....................................................................!
#irian del $armen $aceres aea
'1()!)56!c*
c) Reunión de cierre:..............................................................................1"
d) Hallazgos de la Auditora:.................................................................13
3. INFORME....................................................................................................15 a) !olicitud de acciones correctivas:...................................................15 b) In"orme #nal:.......................................................................................15 c) !eguimiento acciones correctivas:..................................................17
CONCLUSIÓN ....................................................................................................1 BIBLIOGRAFÍAS .................................................................................................1
#40ID% U$%8
INTRODUCCIÓN La auditoría hoy día juega un papel fundamental en el mantenimiento de estas empresas que se necesitan, por cuanto implica el control de los recursos de los cuales ella dispone, a su vez la calidad de las Auditorías es uno de los temas más importantes a perfeccionar, pues de esto depende la confiabilidad de los estados de control de nuestras empresas. La falta de aplicación de un buen control interno y la falta de evaluación y seguimiento del mismo han provocado que se encuentren fallos en la empresa como falta de recursos, faltantes en los inventarios, gastos no justificados, etc., en consecuencia de esto muchas empresas han dejado de eistir como producto de las malas decisiones o decisiones inoportunas. La secuencia de pasos que implica llevar a cabo una auditoria puede variar seg!n diferentes circunstancias. "o obstante ello, usualmente se verifican # fases esenciales$ preparación, ejecución e informe. %stas etapas implican que la auditoria es un proceso secuencial con un punto de partida y otro de determinación.
pág. 3
1. PREPARACIÓN a) Planeac!n" %l
primer
paso
para
realizar
una
auditoría
en
sistemas
computacionales es definir las actividades necesarias para su ejecución, lo cual se logrará mediante una adecuada planeación de &stas' es decir, se deben identificar claramente las razones por las que se va a realizar la auditoría y la determinación del objetivo de la misma, así como el dise(o de los m&todos, t&cnicas y procedimientos necesarios para llevarla a cabo y para preparar los documentos que servirán de apoyo para su ejecución, culminando con la elaboración documental de los planes, programas y presupuestos para dicha auditoría. )oncretamente, el responsable de la planeación de esta primera etapa de la metodología para realizar una auditoría de sistemas computacionales deberá iniciar con el planteamiento de los siguientes interrogantes$ *+or qu& se realizará la auditoría *-e debe hacer una visita preliminar al área de sistemas *)uál es el objetivo que se pretende alcanzar con esta auditoría %n la Auditoría de sistemas computaciones debemos tener en cuenta los siguientes t&rminos$
/dentificar el origen de la auditoría. 0ealizar una visita preliminar al área que será evaluada. %stablecer los objetivos de la auditoría. 1eterminar los puntos que serán evaluados en la auditoría. %laborar planes, programas y presupuestos para realizar la auditoría /dentificar y seleccionar los m&todos, procedimientos, instrumentos y herramientas necesarios para la auditoría. Asignar los recursos y sistemas computacionales para la auditoría.
#) In$e%&'ac!n" 2n concepto importante para la Auditoría es la investigación, ya sea que el auditor tenga eperiencia o que carezca de ella necesitará una guía para la evaluación la cual se será el documento que le permitirá realizar, en forma eficiente y efectiva, la auditoría del sistema, centro de cómputo, gestión informática o de cualquiera de los puntos que se tenga que evaluar, ya que le indicará todo el procedimiento que deberá seguir, los puntos que deberá evaluar y las herramientas e instrumentos que deberá utilizar para hacer su revisión. %s decir, este documento le puede guiar paso a paso en todos los aspectos que serán auditados.
pág. 5
%ntre los principales aspectos que se deben considerar en la investigación y en la elaboración de la guía de auditoría encontramos los siguientes$ 1eterminar las áreas y puntos concretos que serán evaluados en el ambiente de sistemas. -eleccionar los m&todos, procedimientos, herramientas e instrumentos de evaluación. %laborar el documento formal de la guía de auditoría. %laborar los documentos necesarios para la auditoría. 1ise(ar los instrumentos y herramientas de recopilación de información para la auditoría. %tc.
%stos puntos con la intención de lograr estar preparado para la correcta ejecución de una Auditoría.
c) L%&a (e ce*+e," 3ste es uno de los m&todos de recopilación y evaluación de auditoría más sencillos, más cómodos y más fáciles de utilizar, debido a la simplicidad de su elaboración, la comodidad en su aplicación y por la facilidad para encontrar desviaciones, lo cual la hace una de las herramientas más confiables y utilizables para cualquier revisión de sistemas computacionales' asimismo, se aplica tanto para el área de
sistemas, para la gestión administrativa o para cualquier otra función informática. %sta herramienta consiste en la elaboración de una lista ordenada, en la cual se anotan todos los aspectos que se tienen que revisar del funcionamiento de un sistema, de sus componentes, del desarrollo de una actividad, del cumplimiento de una operación o de cualquier otro aspecto relacionado con la evaluación del área de sistemas' esta lista se complementa con una o varias columnas en las que se califica el cumplimiento del aspecto evaluado. +or lo general se palomea el cumplimiento 4
5, se tacha el incumplimiento 465 o se
deja en blanco. )on esto se identifica a simple vista el cumplimiento o incumplimiento del aspecto evaluado. La lista de verificación 4o lista de chequeo' a partir de aquí se tratarán indistintamente ambos conceptos5 puede ser dise(ada en dos columnas$ el concepto y el cumplimiento o incumplimiento, o en varias columnas$ una para el concepto y las otras para elegir una calificación representada en cada columna, seg!n el grado de cumplimiento del concepto.
2. EJECUCIÓN a) Re+n!n (e a-e&+a" -e debe realizar una reunión de apertura con los responsables de los procesos a auditar, la cual tiene el propósito de$
pág. 7
)onfirmar el +lan de Auditoría. +roporcionar un breve resumen de cómo se llevarán a cabo las actividades de auditoría. +resentar el equipo auditor. %stablecer los canales de comunicación. +roporcionar al auditado la oportunidad de hacer preguntas. %n algunos casos, de acuerdo con la complejidad de la auditoría, la reunión de apertura simplemente puede consistir en comunicar que se está realizando una auditoría y eplicar su naturaleza. %n otros casos, la reunión debe ser formal y mantener registros de los asistentes.
%l auditor líder en representación del equipo auditor informará al auditado sobre el desarrollo de la Auditoría, el establecimiento de la mismas bajo la premisa de la obtención de evidencias y realización de pruebas sobre las mismas, aplica procedimientos y t&cnicas de Auditoría
para
la
formulación
de
hallazgos,
observaciones,
conclusiones y recomendaciones, lo cual quedará consignado en la correspondiente Acta de Apertura 47ormato %8/9709:;5.
#) Rec,lecc!n (e -+e#a%" a. %ntrevista
La principal actividad de un auditor, sin importar el tipo de auditoría que realice, es la recopilación de información sobre el aspecto que va a auditar, pues concentra y tabula esa información en cuadros y estadísticas, analiza sus resultados y emite un juicio sobre el aspecto que evaluó. 2na de las t&cnicas más utilizada por los auditores es la entrevista, ya que a trav&s de &sta obtienen información sobre lo que auditará' además, bien aplicada, les permite obtener guías que serán importantes para su trabajo, e incluso, muchas veces se entera de consejos que le permitirán conocer más sobre los puntos que puede evaluar o debe analizar y mucha más información. La entrevista podría entenderse como la recopilación de información que se realiza en forma directa, cara a cara y a trav&s de alg!n medio de captura de datos, es decir, el auditor interroga, investiga y confirma directamente con el entrevistado sobre los aspectos que está auditando' en la aplicación de esta t&cnica, el auditor utiliza una guía de entrevista, la cual contiene una serie de preguntas preconcebidas que va adaptando conforme recibe la información del entrevistado, de acuerdo con las circunstancias que se le presentan y en busca de obtener más información !til para su trabajo. %s necesario que demos a conocer los tipos de preguntas y la manera en que se pueden plantear &stas durante una entrevista' estas
pág. !
preguntas se hacen de acuerdo con las necesidades y características de cada entrevista, y se pueden agrupar en los siguientes tipos. +reguntas abiertas. +reguntas cerradas. +reguntas de sondeo. +reguntas de cierre. +reguntas mitas. Al igual que eisten los tipos de preguntas tambi&n eisten tipos o maneras de realizar un entrevista para una Auditoría de sistemas. %ntrevista de tipo embudo
%ntrevista de tipo pirámide.
%ntrevista de tipo diamante. %ntrevista reloj de arena. Algunas preguntas durante una entrevista$ *Los departamentos tienen un encargado *%iste un manual de prendimientos o una guía para el uso de los equipos *%l soft
*%isten estrategias de seguridad para la información interna y eterna b. Análisis 1ocumentos=registro %s evidente que cuando se trata de una Auditoría los datos que se puedan obtener de documentos y registros anteriores son importantes para establecer un punto de partida para la nueva auditoría, al igual que el análisis de estos documentos nos darán las pautas establecidas por la empresa. Los datos que se puedan observar nos llevaran a una notoria muestra de la situación empresarial, además del estado >legal? de la empresa al estar al día con sus documentaciones. c. @bservación de actividades en áreas de inter&s. 2n m&todo genial para la ejecución de la Auditoría es la observación, durante la Auditoría eisten ciertas actividades de los encargados hacia los equipos o hacia los procedimientos que son realizados de manera sospechosa. +ara llegar tener una menor perspectiva se debe tener cuidado y solamente observar y tomar apuntes de lo sucedido. %specialmente en áreas importantes, que son de inter&s general. 2na vez interpretada la información recopilada, el auditor puede determinar las posibles observaciones sobre el funcionamiento del aspecto de los sistemas evaluados, para reportarlas en su informe. Aquí es donde el auditor establece las desviaciones encontradas.
pág. 11
c) Re+n!n (e cee" +residida por el líder del equipo auditor, en ella se presentan los hallazgos y las conclusiones de la auditoría, de tal manera que sean comprendidos y reconocidos por el auditado, y se acuerda, si es necesario, un intervalo de tiempo para que el auditado presente un plan de acciones correctivas y preventivas. %ntre los participantes de la reunión de cierre debe incluirse al auditado y podría tambi&n estar el cliente de la auditoría y otras partes. %l equipo auditor llevará a cabo la reunión de cierre con los funcionarios que atendieron la auditoría y el responsable del proceso auditado. %n dicho encuentro se ratifican los siguientes aspectos$ @bjeto de la auditoría. +resentación del informe de auditoría. )onclusiones. () /alla0',% (e la A+(&,a" La evidencia de auditoría debe ser evaluada con respecto a los criterios de auditoría para poder generar los hallazgos, los cuales pueden indicar tanto conformidad como no conformidad con los criterios. 1e igual manera, cuando los objetivos de la auditoría así lo especifiquen, los hallazgos pueden identificar una oportunidad de mejora. Las conclusiones de la auditoría pueden tratar aspectos tales como$
%l grado de conformidad del -istema de estión /ntegral 4B%)/ C:::$D::; y "E)+ C:::$D::F5. La efectiva implementación, mantenimiento y mejora del -istema de estión /ntegral. La capacidad del proceso de revisión por la Alta 1irección para asegurar la permanente idoneidad, adecuación, eficacia, eficiencia, efectividad y mejora del sistema. -i los objetivos de la auditoría así lo especifican, sus conclusiones pueden llevar a recomendaciones de auditorías futuras. %l equipo auditor, antes de la reunión de cierre de auditoría, debe reunirse para$ Analizar los hallazgos de la auditoría y cualquier otra información recolectada. Los hallazgos pueden indicar conformidad o no conformidad con los criterios de la auditoría y=o identificar una oportunidad de mejora. Acordar las conclusiones de la auditoría. 7ormular las recomendaciones pertinentes. 0egistrar las no conformidades evidenciadas en el formato denominado >-olicitud de Acción )orrectiva?. Gacer otras observaciones y eponer oportunidades de mejora, caso en el cual se puede pedir un plan de mejoramiento.
pág. 13
3. INFORME a) S,lc&+( (e acc,ne% c,ec&$a%" %n caso de estar especificado en los objetivos de la auditoría, se deberían presentar recomendaciones para la mejora. )onviene enfatizar que las recomendaciones de la auditoría del sistema de la gestión de calidad no son obligatorias.
#) In,e nal" %l /nforme 7inal de la auditoría debe emitirse en el periodo de tiempo acordado. -i esto no es posible, se debería comunicar al cliente y=o auditado las razones del retraso y acordar una nueva fecha de emisión. %s responsabilidad del auditor líder y el equipo auditor. %l informe tiene por objeto eponer los hechos, analizar las causas y recomendar acciones correctoras. %n caso de duda sobre alguna situación auditada, es necesario aclararla antes de presentar el informe. 1ebe contener$ objetivo y alcance de la auditoría, observaciones de "o )onformidad, capacidad del -/ para alcanzar los objetivos definidos, lista de distribución del informe.
%n esta etapa, el auditor debe tener en cuenta$ %l /nforme 7inal debe estar fechado, revisado y aprobado de acuerdo con los procedimientos del programa de auditoría. 2na vez aprobado el /nforme 7inal, debe distribuirse entonces a los receptores designados por el cliente de la auditoría. %l /nforme 7inal de auditoría es propiedad del cliente de la auditoría. Los miembros del equipo auditor y todos los receptores del informe deben respetar y mantener la debida confidencialidad sobre el informe. La auditoría finaliza cuando todas las actividades descritas en el plan de auditoría se hayan realizado y el informe aprobado se haya distribuido. Los documentos que pertenecen a la auditoría deben conservarse o distribuirse de com!n acuerdo entre las partes participantes y siguiendo los procedimientos del programa de auditoría y los requisitos legales, reglamentarios y contractuales aplicables. -alvo que sea requerido por ley, el equipo auditor y los responsables de la gestión del programa de auditoría no deben revelar el contenido de los documentos, cualquier otra información obtenida durante el proceso, ni el informe a ninguna otra parte sin la aprobación eplícita del cliente de la auditoría, además de la del auditado cuando sea apropiado. -i se requiere revelar el contenido de un documento de la auditoría, el cliente y el auditado deberían ser informados tan pronto sea posible.
pág. 15
c) Se'+en&, acc,ne% c,ec&$a%" )onsiste generalmente en verificar si se ha implementado por parte del auditado la acción correctiva formulada en informes de auditoría de a(os anteriores y su eficacia, como parte del programa de auditoría, sin descartar la posibilidad de verificar el incumplimiento de alguna acción correctiva. Las acciones correctivas corren por parte del cliente, independiente del área de la cual se haya auditando.
CONCLUSIÓN %n este trabajo realizado podemos concluir mencionado los conceptos importantes para llevar a cabo una
Auditoría informática. Gemos
podido comprender, es que toda empresa, p!blica o privada, que posean -istemas de /nformación medianamente complejos, deben de someterse a un control de evaluación de eficacia y eficiencia. Goy en día, el F: por ciento de las empresas tienen toda su información estructurada en -istemas /nformáticos, de aquí, la vital importancia que los sistemas de información funcionen correctamente. %l &ito de una empresa depende de la eficiencia de sus sistemas de información.
BIBLIOGRAFÍAS ,ascual ra+o '")))*: ,roceso de auditor9a: $artilla ásica para auditores #u;os 0ao< $arlos< ,earson =ducación< #-ico< "))"*: %uditor9a en &istemas $omputacionales.
pág. 17